Javascript 利用jquery html编码XSS
阅读后,用户警告这种编码html的方法是不安全的Javascript 利用jquery html编码XSS,javascript,jquery,security,xss,Javascript,Jquery,Security,Xss,阅读后,用户警告这种编码html的方法是不安全的 return $('<div/>').html(encodedText).text(); return$('').html(encodedText.text(); “不要使用jQuery.html().text()对html实体进行解码,因为这是不安全的 因为用户输入永远不能访问DOM " “我建议使用更安全、更优化的功能” 此方法的目的是获取编码输入,即Fish&;芯片并产生未编码的输出,即鱼和芯片 据我所知,他们
return $('<div/>').html(encodedText).text();
return$('').html(encodedText.text();
“不要使用jQuery.html().text()对html实体进行解码,因为这是不安全的
因为用户输入永远不能访问DOM
"
“我建议使用更安全、更优化的功能”
此方法的目的是获取编码输入,即Fish&;芯片
并产生未编码的输出,即鱼和芯片
据我所知,他们声称对于encodedText
的某些值,可以执行javascript。我试图将此设置encodedText
复制到alert(1)
和其他一些简单的攻击,但找不到XSS漏洞的任何迹象
我的问题是:当使用
$('').html(encodedText).text()时,任何浏览器中是否存在任何明显的xss漏洞有很多方法,这是使用带有图像标记的OneError的一种方法
var x=$(“”).html(“”).text();
控制台日志(x)代码>
$('').html('').text()
请特别注意以下答案:
$('<div/>').html('<img onerror="alert(0)" src=invalid>').text()